Др. Веб обнаружил целый зоопарк. Но один зверек не захотел удаляться. Видимо он и пытается новое семейство развести, когда под админом заходишь. Логи прилагаются.
Printable View
Др. Веб обнаружил целый зоопарк. Но один зверек не захотел удаляться. Видимо он и пытается новое семейство развести, когда под админом заходишь. Логи прилагаются.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('E:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('E:\WINDOWS\system32\msvcrtdm.dll','');
QuarantineFile('E:\WINDOWS\system32\64.exe','');
DeleteFile('E:\WINDOWS\system32\64.exe');
QuarantineFile('E:\DOCUME~1\9335~1\LOCALS~1\Temp\K6YnNZT4.sys','');
DeleteFile('E:\DOCUME~1\9335~1\LOCALS~1\Temp\K6YnNZT4.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
Карантин закачал
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('E:\WINDOWS\system32\msvcrtdm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Повторите логи
Комп, после перезагрузки, стал ругаться на отсутствие msvcrtdm.dll - "приложению не удалось запуститься из-за отсутствия msvcrtdm.dll" список приложений выходит большой - userinit.exe, winlogon.exe, lsass.exe, explorer.exe, suondman.exe и др. Из-за этого не работает английская раскладка и войти под админом невозможно :( Поэтому логи не могу сделать. Что делать?
Этот файл в вашем карантине AVZ имеет имя avz00001.dta.
Можно вынуть его оттуда, переименовать и положить на место.
Однако, файл зловредный, надо еще подумать, как можно от него корректно избавиться.
[QUOTE=Bratez;720136]...
Можно вынуть его оттуда, переименовать и положить на место.
...[/QUOTE]
Выну его и логи повторить?
Да, повторите.
Логи
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('E:\Documents and Settings\Шишлянников\Application Data\ltzqai.exe');
DeleteFile('E:\RECYCLER\S-1-5-21-5179896325-0043184165-272351144-1877\syscr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Microsoft Inet Service');
BC_Activate;
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2052111302-1060284298-725345543-1005\Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Для контроля повторите лог virusinfo_syscheck (п.2 Диагностики).
Установите SP3 и последующие обновления (может потребоваться повторная активация!).
По поводу msvcrtdm.dll пока подумаем.
[QUOTE='Bratez;720253']По поводу msvcrtdm.dll[/QUOTE]
Как выяснилось, для удаления этого зловреда необходимо сначала восстановить файл [B]Windows\System32\imm32.dll[/B] (из дистрибутива вашей версии XP или из аналогичной здоровой системы). Замену можно произвести через консоль восстановления или с помощью загрузочного CD. Тем самым привязка к msvcrtdm.dll убирается, и его можно будет удалить.
Для вас наилучшим решением будет установка SP3, т.к. при этом imm32.dll будет в числе прочих заменен обновленной версией, что автоматически решает проблему.
Замену imm32.dll сделал. Удалил msvcrtdm.dll
Однако Др Веб ругается на вирус-даунлоадер типа ltzqai.exe (что-то лог агента с ходу найти не могу, чтобы сказать где конкретно зараза, но видимо там же).
[B]ltzqai.exe[/B] удалялся скриптом в сообщении #10.
В логе ничего плохого не видно. Или скрипт помог, или DrWeb сам справился.
Но на всякий случай сделайте еще лог [I]virusinfo_syscure[/I] (п.1 Диагностики).
Установил 3 сервис пак. Лог прилагается.
[QUOTE=Rogoff;720570]Замену imm32.dll сделал. [/QUOTE]
Если сохранили копию, пришлите его.
В логе все хорошо.
[QUOTE=Shu_b;720710]Если сохранили копию, пришлите его.[/QUOTE]
К сожалению не сохранил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\windows\\system32\\msvcrtdm.dll - [B]Trojan.Win32.Agent.hhpv[/B] ( DrWEB: Trojan.Siggen.64537, BitDefender: Spyware.12747, AVAST4: Win32:Trojan-gen )[*] e:\\windows\\system32\\64.exe - [B]P2P-Worm.Win32.Palevo.avjd[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Win32.Worm.Palevo.BZ, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]